ランサムウェア Wanna Cry

ランサムウェア「ワナクライ(WannaCry)」とは何か。感染しないための方法。

昨年猛威を振るったランサムウェアは、今年も引き続き世界に大きな影響を与え続けそうです。

英国では公共医療制度を管轄する国民医療サービス(NHS)のシステムが一部地域で停止に追い込まれ、複数の医療機関で診療ができなくなった。
AP通信などによると、ロシアでも内務省のコンピューター約1000台が攻撃され、捜査機関や大手携帯電話会社に被害が発生。
米運輸大手フェデックスやスペインの通信大手テレフォニカも標的になった。
トルコ、ベトナム、フィリピン、中国、イタリアでも被害が確認されているという。

■参考:<サイバー攻撃>身代金要求「ランサムウエア」世界で猛威 – Yahooニュース

2017年5月12日ごろに、ワナ・クライ(Wanna Cry、WannaCrypt、WannaCryptor)と呼ばれるランサムウェアによる大きな被害が世界各国で発生しました。
日本は休日だったということもあり、被害は少なかったようです。
しかし、同様の事態が今後起こることはあり得ます。

ランサムウェアの被害に合わないためにも、
・ランサムウェアとはなんなのか
・どうすればその被害に合わなくて済むのか
を知る必要があります。

ランサムウェア Wanna Cry

ランサムウェアとは

パソコンやスマホにロックをかけてデータを読み込ませなくするウィルスです。
ロックの方法は、単純に端末にロックをかけたり、データを暗号化(PCで読み取り不可能な状態にする)などがあります。
一度ロックを掛けられてしまうと、二度とそのデータを閲覧することができなくなります。

また、そのロックを解除するためには、指定の金額を払えという強迫が来ます。
しかし、その金銭を払っても暗号化は解除されません。

このような一連の流れから、このウィルスソフトは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせ、「ランサムウェア」と呼ばれています

ランサムウェアはPC版が有名でしたが、最近ではスマホ版のランサムウェアの被害も増えているようです。
PC版は、ファイルに暗号をかけ、解読不能とするものが多いです。
一方スマホ版は、端末そのものにロックを掛け、使用できなくしてしまうものが多いです。

また、ランサムウェアは、一度感染してしまうと被害が拡大するという特徴を持っています。
たとえば、あるパソコンがランサムウェアに感染すると、そのパソコンがアクセスできるファイル全てが暗号化されてしまいます。
もし、全てのファイルにアクセス権限のあるパソコンが感染してしまうと、ネットワーク内のファイル全てが使用不能になってしまうということです。

このようにランサムウェアは感染してしまうと、被害が甚大になります。
また、一度感染してしまうと、それを解除する方法はありません。
ですから、感染しないように防衛策を講じることが重要になります。

感染動画

IPAが公開したWannaCRY感染実演でも動画になります。
感染すると次々にファイルが暗号化されること、感染したPCとネットワークでつながっているPCも感染していく様が見れます。
暗号化が完了すると、金銭を要求する画面が表示されます。

■ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ

ランサムウェア被害者の生の声

「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る

WannaCryは、なぜ生まれたか?

WannaCryは、Windowsの「SMBv1の脆弱性」という脆弱性をついたウィルスです。
この脆弱性は、米国家安全保障局(NSA)がハッキングツールに使用していました。
そのツールが外部のハッカーなどにより流出し、WannaCryに悪用されてしまいました。

また、この脆弱性を利用したツールを使っている事実はマイクロソフトに公開していなかったため、被害が拡大しています。
もし、NSAがその脆弱性をマイクロソフトに報告していれば、その修正パッチが用意され、ここまで被害は広がらなかったということです。

■参考:「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告
■参考:マイクロソフト、WannaCry被害でNSA批判 「トマホークミサイルを盗まれたのと同じ」

 

ちなみに、SMBは主にWindowsでファイルやプリンタ共有のために使われているプロトコルだそうです。
これを停止させればWannaCryに感染しなくなるようですが、ファイルやプリンタ共有ができなくなるので、限定的な対策になりますね。
やはり、OSの最新化、不用意にメールを開かないなどの根本対策が必要になってきます。
■参考:Windowsの通信プロトコルに脆弱性報告、SMB v1は無効化を

Adylkuzzという新種ウィルスも出回っている

WaanaCryが利用している脆弱性を使った新たなウィルス「Adylkuzz」が出回っているようです。
Adylkuzzは、感染したPC内にあるbtcoinなどの仮想通貨をウィルス作成者に送信させるものです。
これらの処理はバックグラウンドで行われるため、感染に気付きにくいのが特徴です。
WannaCryやAdylkuzzからも見られるように、金銭の要求方法がかなり直接的になってきていますね。
■参考:新たな大規模サイバー攻撃、水面下で進行 WannaCry超える規模
■参考:暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別

感染経路

ランサムウェアの主な感染経路は以下の二つになります。
・メールなどのリンク、添付ファイルからの感染
・不正広告の表示、クリックによる感染

メールのリンクや添付ファイルによる感染

ランサムウェアの主な感染経路は、メールのリンククリックや不正ファイルのダウンロードによるものです。
リンク先にウィルスに感染させるページを用意したり、
添付ファイルにウィルスそのものが入っているのです。

不正広告による感染

ランサムウェアは不正な広告を介しても感染します
webページを見ていると、広告が表示されますよね。
その中に不正な広告が混じっており、それが表示またはクリックされると感染してしまうのです。

広告表示のネットワークはとても複雑な仕組みになっています。
アドネットワークと呼ばれる、広告のDBのようなものがあり、そこから広告が読み込まれサイトに表示されます。
そして、そのアドネットワークに出稿される広告は様々です。
一つのアドネットワークに複数の広告代理店が存在することもあるので、不正な広告がどこから入り込んだかが非常にわかりにくいです。
また、アドネットワーク内に不正侵入し、不正広告を作成するというケースも考えられます。
このように、どこから不正な広告が入ってくるかわからない、それ故に対策が難しいという問題があります。

正確な感染経路は不明。SMBポートの脆弱性か?

「メールでの感染」は、今までの傾向から推測されたものでした。
しかし、実際に感染源となった不審メールは発見されていません。
セキュリティ企業のMalwarebytesの調査結果によると、攻撃者は、脆弱性のあるSMBポートを探して攻撃した可能性が高いようです。
その際、NSAから流出したツールを使用したようです。

■参考:「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表

SMBとは、ネットワーク(LAN)上の複数のWindowsコンピュータの間でファイル共有やプリンタ共有などを行うためのプロトコルおよび通信サービス。
■参考:SMB

ランサムウェアの被害に合わないために

ここまででランサムウェアの恐ろしさが理解できたかと思います。
感染すると、ファイルやPCが使えなくなってします。
そして、身代金を払ってもその事象は解消されません。

ランサムウェアの被害は、会社などの組織はもちろん、個人の間でも広がっています
つまり、あなたも被害にあう可能性が十分あるということなのです。
では、このような被害に合わないためにはどうすればいいのでしょうか。

OS、ウィルスソフトの最新化

感染しないためには、ウィルス対策の基本ですが、
・Windows UpdateにてOSを最新化する
・ウィルスソフトを最新化する
ことが絶対です。
これで少なくても既存の脆弱性を狙われることはなくなります。

この記事にも書かれているようにMSも修正パッチをリリースしているので、まだの人はただちにアップデートすることをおすすめします。

WannaCryが利用するSMBv1の脆弱性「MS17-010」は、既に修正パッチがリリース済みで、緊急性を鑑みたMicrosoftは、サポートが終了しているWindows XP、Windows 8およびWindows Server 2003向けにも修正パッチをリリースしました。とるべき対策が明記されているので、ぜひ、目を通してください。

ランサムウェア「WannaCry」の被害が止まらない理由

不用意にメールを開かない

また、ランサムウェアの感染経路は、メールが主です。
12日に猛威を振るった「ワナ・クライ」も日本ではそこまで被害は広がりませんでした。
それはなぜかというと、休日で、そもそもメールを開かなかったからです。
これは裏を返せば、不審なメールを開きさえしなければ、感染は防げるということです。

ただ、今はメールの偽装も高度化しています。
件名も自分の業務に関係するものだったり、ドメインを偽装したりするので、パッと見不審には見えません。
しかし、いつもと雰囲気の異なるメールが来たら一度立ち止まって考えてみることが大事です。

◆2017/5/19追記◆
最初はメールでの感染が主な経路だと思われていましたが、どうもその筋は疑わしいようです。
というのも、実際に感染源となったメールの情報が未だに出てきていないからです。
不審なメールを開かない、と言うのは当たり前ですが、それだけではWannnaCryの感染を防ぐことは難しいかもしれません。
やはり、OSやウィルスソフトを最新化し、セキュリティを強化するしかないようです。

定期的にバックアップを取る

次に感染してしまった時の対処法です。
ランサムウェアに感染した時の問題点は、ファイルを見れなくなることです。
ということは、感染してたとしてもそのファイルのバックアップが取ってあれば、問題はないのです。
ですから、定期的にバックアップを取るようにしましょう。
その際、データだけでなく、OSのバックアップも取得しておくと、端末ロックされた時も安心です。
バックアップしたデータは以下のような外付けHDDなどに保存しておけば、端末が感染しても、それが伝播することはありません。


I-O DATA HDD ポータブルハードディスク 1TB

また、バックアップをとる手段はクラウドという選択肢もあります。
googleフォトやAmazonのストレージサービスなど、選択肢は色々あります。
ネット上のストレージにデータを保存しておくのですね。
そうすれば、自分の端末にデータを置かなくていいので、ランサムウェアの被害にあう危険性も少なくなります。

たしかに、クラウドサービスが狙われるという危険性は存在します。
しかし、普通に考えて自分のPCのセキュリティとGoogleのセキュリティだったら、どっちが強いかと思いますか?
きっとGoogleの方が強いですね。
そう考えると、わざわざ手元でバックアップデータを取る必要はないかもしれません。
それでも不安というなら、クラウドを分散させればいいのです。
AmazonとGoogle両方に置いておけば、リスクは分散できますからね。

ランサムウェアから大切なデータを守る鍵「レジリエンス」とは何か?

スマホ向け対策

ランサムウェアはPCだけでなく、スマホでも猛威を振るっています。
スマホの場合はデータを暗号化するというよりは、端末そのものにロックを掛けるといったケースが多いようです。
このように感染によってロックがかかってしまった場合の対処法を説明します。

スマホのランサムウェアは、アプリの形態をとっているので、そのアプリ自体をアンインストールすれば、問題を解決できます
しかし、感染した状態ではそもそも端末が使えないので、アンインストールすることはできません。
感染した状態でアプリをアンインストールするには、スマホをセーフモードで起動する必要があります。
その上で、アプリをアンインストールすればいのです。
詳しい操作方法については、以下の記事を参照ください。

参考:Androidランサムウェアは「セーフモード」で削除を

復号化ツール公開される。感染後すぐに使用するのがポイント。

「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」 – 窓の杜

トレンドマイクロ社より、ランサムウェアWaanaCryによって暗号化されたファイルを復号するツールが公開されたようです。
WaanaCryのプロセスが使用しているメモリから秘密鍵を取得し、復号化するようです。
なので、秘密鍵がメモリ上に残っている状態で使用しないといけません。
暗号化が完了して時間が経った後や再起動後などに使用しても、効果がないので注意が必要です。
万一感染した時にすぐに使用できるように、あらかじめダウンロードしておくといいでしょう。

サイバー反撃の法整備進む

WannaCryによるサイバー攻撃を受け、政府がサイバー反撃可能な法整備を進めているようです。
今までは、政府のサイバー攻撃への反撃は、不正アクセス禁止法により不可能でしたが、この法案が可決すればこれが可能となります。
■参考:政府、「サイバー反撃」可能へ法整備検討

サイバー反撃が可能になると、攻撃の出所がわかるので、攻撃者を特定することができます。
そうすれば、損害賠償を請求することもできますし、将来の攻撃への抑止力となることも期待できます。
つまり、「サイバー反撃が可能である」という事実そのものが大きなカードとなるわけですね。
■参考:サイバー攻撃のアトリビューションは魅力的な仕事である

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">